AWS 접근제어#4 AWS STS
AWS STS(Simple Token Service) AWS 리소스에 대한 액세스를 제어할 수 있는 임시 보안 자격증명을 생성하여 보안 주체에 전달해주는 서비스 보안주체(사용자 혹은 역할)는 sts를 호출할 수 있는 명시적인 권한이 있어야함. STS API요청에 대한 응답에는 temp credential이 포함되어 있음 access key secret key session token: temp credential을 사용하기 위해 api 요청에 제출해야하는 토큰.세션토큰을 사용해 임시 보안 자격 증명의 유효성을 검증
15초~최대 12시간까지 지속가능 https://sts.amazonaws.com 라는 글로벌 단일 엔드포인트를 default로 사용 리전별 aws sts엔드포인트를 사용하여 지연 시간을 줄이고, 중복으로 구축하고, 세션 토큰 유효성을 높일수있음 쿼리 api sdk cli를 통해 sts 호출 가능
aws sts api
| AWS STS API | 호출할 수 있는 사용자 | 사용사례 |
|---|---|---|
| AssumeRoleWithSAML | IAM 사용자 기존 임시보안 자격 증명이 있는 IAM역할 | 기존 IAM 사용자가 아직 액세스 권한이 없는 AWS 리소스에 접근 |
| AssumeRoleWithSAML | 유효한 ID provider에서 받은 인증이 포함된 SAML 응답을 전달할 수 있는 (외부) 사용자 | SAML 2.0과 호환되는 엔터프라이즈 자격 증명 공급자 (window AD, OpenLDAP)을 통한 연동 |
aws sts assume role request 예시